神州数码网络安全攻防实验室方案.doc

资源描述

神州数码安全攻防实验室解决方案（V2.0版本）神州数码网络有限公司 2024/12/22 目录第一章网络安全人才火热职场 4 1.1网络安全现状 4 1.2国家正式颁布五级安全等级保护制度 4 1.3网络安全技术人才需求猛增 5 第二章网络安全技术教学存在的问题 5 2.1网络安全实验室的建设误区 5 2.2缺乏网络安全的师资力量 5 2.3缺乏实用性强的安全教材 6 第三章安全攻防实验室特点 6 3.1网络实验室分级金字塔 6 3.2安全攻防实验室简介 7 第四章安全攻防实验室方案 8 4.1安全攻防实验室设备选型 8 4.1.1 传统安全设备 8 4.1.2 安全沙盒——使实验室具有攻防教学功能的独特产品 9 4.2安全攻防实验室拓扑图 10 4.3安全攻防实验室课程体系 11 4.3.1 DCNSA网络安全管理员课程——面向中高职院校 11 4.3.2 DCNSE网络安全工程师课程——面向高职、本科院校 13 4.4安全攻防实验室实验项目 15 4.4.1基本实验 15 4.4.1扩展实验 17 第五章安全攻防实验室配套服务 18 5.1 师资培训和师资支持 18 5.1.1师资培训 18 5.1.2课件 19 5.1.3讲师交流平台 19 5.1.4教师进修计划 20 5.2考试评估和证书 20 5.2.1神州数码认证考试采用ATA考试平台 21 5.2.2神州数码协助合作院校申请成为ATA公司考站 21 5.2.3“一考双证”如何实施？ 22 第六章神州数码安全攻防实验室优势 23 6.1区别于普通的安全调试型安全实验室 23 6.2独有的安全攻防平台，不需要添加其他服务器设备 23 6.3便于教学的课件导入功能 23 6.4 系统还原功能 23 6.5提供设计型、综合型实验的真实环境 23 6.6安全攻防实验室提供研发型实验接口 23 第七章网络实验室布局设计 24 7.1 实验室布局平面图 24 7.2 实验室布局效果图 25 7.3 机柜摆放位置的选择 25 第一章网络安全人才火热职场 1.1网络安全现状信息技术飞速发展，各行各业对信息系统的依赖程度越来越高，建立持续、稳定、安全的网络是保障用户业务发展的前提。近年来，安全问题却日益严重：病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷，而且技术越来越复杂，病毒、木马及黑客技术等融合造成了网络安全的巨大危机。用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制，备份等保护手段来保护信息系统的安全。但是网络安全的技术支持以及安全管理人才极度缺乏。 1.2国家正式颁布五级安全等级保护制度 2007年7月24日，公安部、国家保密局、国家密码管理局、国务院信息工作办公室正式上线颁布了信息安全等级保护规定，信息安全等级保护管理办法及实施指南，颁布了《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息安全技术信息系统安全等级保护实施指南》、《信息安全技术信息系统安全等级保护基本要求》等办法。办法明确规定，信息系统的安全保护等级分为五级，不同等级的信息系统应具备的基本安全保护能力如下：第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。第五级安全保护能力：（略）。等保制度的颁布将网络安全的重要性提高到法律法规的高度，并催生了一个新的职业：网络安全评估工程师/专家，该职位属于IT行业的顶级职位，目前的人才储备远远不能满足行业需求。 1.3网络安全技术人才需求猛增网络安全技术涉及到国民经济的各个领域，技术发展迅速，在中国对安全人才的需求数量大，人才的需求质量高，高技能型应用人才十分缺乏，据51Job、中华英才网等人力资源网站统计，近年，人才市场对网络安全工程师的需求量骤增，大中型企业都已经设置了专业的网络安全管理员，中小企业也大量需要懂得网络安全的网络管理员，银行、证券、保险、航空、税务、海关等行业尤其看重。网络安全行业的就业需求将以年均14%的速度递增，2008年，网络安全行业的就业缺口人数将达到20万以上。网络安全工程师需要更高更全面的技术学习，因此薪资水平较一般网络工程师高，可以达到1.5至3倍的水平，走俏职场成为必然。第二章网络安全技术教学存在的问题 2.1网络安全实验室的建设误区很多学校在建设网络安全实验室的时候都会走进一个误区，往往认为安全设备的安装调试就是安全实验室，没有把安全攻防、系统加固作为网络安全实验室的建设内容。安全设备的安装调试以及安全网络的拓扑设计的确是安全实验室的重要内容，但应该不仅仅是这些内容。大部分的网络安全实验室之所以建成安全设备的调试级别，主要是因为组织实验室方案的往往是设备厂商，作为设备厂商关注的问题就是如何更多地销售设备，这就导致实验室的层次偏低，实验项目不全面。 2.2缺乏网络安全的师资力量网络安全是网络行业中技术含量较高的方向，安全人才较为缺乏，学校师资也是一样，好的师资是网络安全实验室教学中的一个重要环节。通过师资培训，再加上好的环境来实践，可以保障网络安全教学师资的提升。 2.3缺乏实用性强的安全教材目前市面上面的网络安全教材很多，但绝大部分都是以理论为主，很容易导致学生学习的厌烦感，教材的编排并没有针对性的网络安全实验，这也是网络安全实验开展困难的主要问题。第三章安全攻防实验室特点在一个已经部署防毒软件、防火墙、IDS、VPN等安全产品的实验室中，很少有人清晰的知道这些安全产品的作用，以及能够为计算机安全所带来的保障。配置和组网的实验带给学生的仍然是书面的理论知识，学生没有一个整体的概念。实验室严重匮乏的是安全设备的组合以及攻防环境的建立，这让很多学校以及企业感到无从着手，无力进行有效的网络安全培训，面对以下问题无所适从：问题1：怎样的教学方式才能让学员更加快捷、高效的学习网络安全方面的知识？问题2：什么样的教学环境才能让学员更容易、积极的学习网络安全方面的知识，增强网络安全意识？神州数码提出超越普通网络安全实验室概念的方案——网络安全攻防实验室解决方案，成为国内第一家将网络攻防概念真正引入教学课堂的网络厂商。攻防带给教学最真实的环境、最有效的实验方式，学会真正最实用性安全技术，在实验室中学生可以真实体验到未来工作中的网络状况，并加以排除、维护和改造。神州数码这一理念也符合了网络实验室分级金字塔的要求： 3.1网络实验室分级金字塔神州数码在网络实验室行业以其全面的方案和完善的课程教材体系赢得了学校用户的认可，目前神州数码可以向学校提供五大不同类型的实验室方案：普通型路由交换实验室方案、安全攻防实验室方案、融合通信实验室方案、IPv6实验室方案、协议分析与研发型实验室方案。其他的网络技术譬如：无线、存储等没有列为专门的实训室类型，它们可以作为一个组件附加在各个实验室中。实验室类型虽然很多，但根据锻炼能力的不同分为以下几个级别： 1、安装调试级别：即学会配置交换机、路由器、防火墙、IDS、VoIP、无线等网络设备已经存在的功能，将这些功能显现出来，并且学会如何用这些设备组网实现用户所需要的功能和服务，此时学生面对的网络是静态的设备。 2、运维攻防级别：这是更高级别的实验室，网络不再是一个个单独的设备，而是动态运作的一个整体。网络时刻在变化，病毒、攻击、瓶颈、非法操作随时都可能对网络造成致命的破坏。学生需要对这个动态的网络进行架构的优化、对流量进行限制和整形、对用户进行管理、对病毒进行防治、对攻击进行防御等。此时，学生就是网络中的警察、建筑师、清洁工，保证整网更顺畅、安全的运行。这个级别的实验更加灵活多变，难度也更大，要求学生对基础知识的掌握更扎实。安全攻防实验室就属于这一级别的实验室。 3、研发级别：研发网络设备的特定功能，培养既懂网络又懂研发的复合型人才。 2008年之前，各学校建设的网络实验室均属于安装调试级别的实验室，只能培养技能型人才，而第二级别和第三级别可以培养技术型人才。 3.2安全攻防实验室简介目前，各行业用户对信息系统的依赖程度也越来越高，建立持续、稳定、安全的网络是保障用户业务发展的前提。大家都认识到安全的重要性，纷纷采用防火墙、加密、身份认证、访问控制，备份等保护手段来保护信息系统的安全。与此同时，安全问题日益严重，病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷，而且技术越来越复杂，病毒、木马及黑客技术等融合造成了网络安全的巨大危机。因此，国内人才市场对网络安全工程师的需求量骤增，大中型企业需要精通网络安全的网管人员。原来的网络安全实验室都是面向设备安装调试以及设备组网的实验室，没有针对网络管理员实际遇到的安全攻防做出相应的训练。神州数码是国内首家正式提出安全攻防技术进入学校教学课堂的网络设备厂商，并提供了完整的解决方案。安全攻防实验室使用主流的安全设备：如防火墙、入侵检测与防御系统、统一威胁管理系统、终端安全系统、安全准入认证系统组成实验网络，将典型安全漏洞实验案例、主机系统加固实验案例以及漏洞扫描案例浓缩到称之为“安全沙盒”的安全攻防实验平台中。安全沙盒与所有安全设备组合部署成一个强大的网络测试环境，学生和研究人员可以更直观、更有效、更方便地体验设备中安全技术的部署，观察并攻击“安全沙盒”中定制服务器常见的操作系统漏洞和网络应用服务漏洞等，然后在安全沙盒上进行系统加固，并可以利用整网的设备联动发现威胁、主动防御。安全沙盒的部署拓扑如下：第四章安全攻防实验室方案 4.1安全攻防实验室设备选型 4.1.1 传统安全设备传统的安全设备包括防火墙、UTM统一威胁管理、入侵检测引擎、认证计费、日志系统等产品，这些传统的安全设备可以组建完整的网络进行设备的安装调试，满足学生了解产品配置、了解产品功能的作用。传统的安全设备是安全攻防实验室不可或缺的产品，它们的组合可以完成安装调试级别的所有实验。 4.1.2 安全沙盒——使实验室具有攻防教学功能的独特产品神州数码安全沙盒系统——DigitalChina Secure SandBox（简称：DCSS）为计算机安全教育提供实验课程以及实验环境。教师通过登录DCSS系统的管理平台SandBox Management Centrol（简称：SMC）进行实验课程的教学工作，学生也可以通过登录SMC进行教学课程的实验操作。DCSS是神州数码网络公司专为网络安全攻防实验室研发的产品，是进行网络安全攻击和防御的模拟平台，锻炼学生动态网络安全维护的能力。其名取材于军事术语“沙盘”，这意味着安全沙盒可以通过模拟实战演练战术和技术，其先进的设计理念为国内首创。安全沙盒系统为计算机及网络安全教育提供多系统平台的教学课件，在教学、培训过程中，根据需要可以启动基于不同操作系统平台的教学课件，满足所有教学环境的需求。安全沙盒系统为计算机及网络安全教育提供多模式的安全攻防实验课件，能够进行各种安全威胁的攻防操作，针对不同的攻击防御模式，提供多种实验课件选择。安全沙盒系统的全部课件均是将安全理论与实际环境和动手操作相结合的实验课程，所有的学习过程中，都需要通过实际动手进行实验操作，完成课件要求的安全威胁攻击以及针对该攻击的安全防御措施。通过不同的实验课程让学员亲身体验计算机及网络安全的攻防全过程，让学生从枯燥的理论学习中解脱出来，可以极大的提升学生学习网络安全知识的积极性，并帮助学生在未来的就业和职业发展奠定扎实、实用的技术基础和经验。安全沙盒具有10个千兆电口，其中2个用于管理，8个用于学生实验，可以满足8人同时实验，并具有如下特点满足教学需求： 1、独立的实验环境：教师通过SMC控制台可以为学生开启各种计算机安全教学课程的实验环境，学生可以在实验环境中进行各种计算机安全的攻防实验。独立隔离的实验环境不会对其他网络造成危害。 2、可定制的安全实验课件：教师可以在SMC控制台上进行日常教学的课程定制，根据已有的实验课件，教师可以自行编写教学课程内容。 3、支持多实验课程同时进行：教师可以在SMC控制台上进行多个计算机安全实验课程的教学，通过启动不动的安全实验课件，为不同的学生分配相应的实验课程。 4、支持单独的实验评分系统：教师可以在SMC控制台上为上课的学生进行实验评分，每个学生都可以有自己的实验分数，且支持对学生实验成绩可以导出功能。 5、具备实验课程在线帮助：学生在进行每个实验课程时，都可以通过在线实验说明，实验提示步骤，自行完成实验课程。 6、可扩展的实验课件体系：安全沙盒系统可以通过不断的更新实验课件，不断扩容实验能力，可以无限为计算机安全教学提供长期的实验操作平台。 4.2安全攻防实验室拓扑图在安全攻防实验室方案中，我们把实验室分成了六个区域： 1、网络VPN安全域：使用防火墙进行VPN技术的组网和配置，让学生了解VPN技术的特点、适用范围以及安装调试。 2、网络接入安全域：使用802.1x技术、web接入技术或者PPPoE接入技术管理接入安全，也可以利用DCSM内网安全管理系统进行病毒检查和资产评估。 3、内网核心安全域：部署日志系统和Radius服务器进行安全审计。 4、网络边界域：具有流量整形网关设备、UTM和BAS设备，可以很完整的管理边界安全。 5、模拟外网安全域：主要进行远程接入的安全设置以及模拟外网产生的恶意扫描和攻击。 6、系统攻防演练区：安全沙盒是主要设备，在安全沙盒上进行系统的攻击和防御，IDS入侵检测引擎负责网络安全的嗅探和威胁发现。为了保证安全沙盒不对网络的其他区域造成危害，还需要使用防火墙和其他区域隔离，使用DCSM内网安全管理系统对这些工具和软件进行资产管理，防止学生私自复制，对校园网络造成危害。安全攻防实验室不再是普通意义上的设备安装调试级别的实验室，它带来全新的实验室理念，即运维攻防级别的实验室理念，它提供了全动态绝对真实的网络实训环境。对学生而言网络不再是一台台静止的设备组成，而是具有各种关联，提供各种服务，存在各种威胁的一个动态的整体。 4.3安全攻防实验室课程体系神州数码非常重视网络安全技术的课程体系，把安全认证从基础认证体系中抽取出来扩展，形成专门的两级安全认证体系： 4.3.1 DCNSA网络安全管理员课程——面向中高职院校掌握程度分为：掌握、理解、了解三个层次。项目类型一级知识点二级知识点课时数掌握程度项目1：局域网安全攻防技术局域网设备安全交换机设备安全 2 掌握安全的控制台访问 2 掌握配置特权密码 1 掌握 service password-encryption命令 1 掌握配置多个特权级别 2 掌握警告标语(Warning Banners) 2 掌握交互式访问 2 掌握安全vty访问 2 掌握安全Shell(SSH)协议 2 掌握禁用不需要的服务 2 掌握局域网常见安全威胁及解决方案 MAC flooding/MAC spoofing 4 理解 spanning-tree攻击 4 了解 VLAN跳转 4 了解 DHCP攻击（虚假DHCP防御和DHCP拒绝服务攻击防御） 4 了解 ARP扫描/ARP攻击/ARP欺骗 4 理解项目2：互联网接入安全攻防技术互联网接入设备安全互联网接入设备安全 2 理解互联网接入常见威胁及解决方案过滤IP网络流量 2 了解过滤Web和应用流量 2 了解特洛伊木马 4 了解扫描器 4 了解拒绝服务攻击 4 了解项目3：网络互联数据安全攻防技术（VPN、VPDN）网络互联设备安全网络互联设备安全 2 理解网络互联常见威胁及解决方案数据监听 4 理解数据篡改 4 理解数据重放 4 了解非法的数据来源 4 理解使用IPSEC实现数据的加密、认证、反重放 8 理解项目4：互联网接入身份验证AAA 互联网接入身份验证设备安全互联网接入身份验证设备安全 2 理解互联网接入常见威胁及解决方案配置IEEE802.1X实现互联网接入身份认证 4 理解配置PPPOE实现接入客户端身份认证 4 了解配置web portal实现接入客户端身份认证 4 了解课时合计　　 96 　 4.3.2 DCNSE网络安全工程师课程——面向高职、本科院校掌握程度分为：掌握、理解、了解三个层次。项目类型一级知识点二级知识点课时数掌握程度网络安全综述网络安全的现状网络为什么不安全 1 了解安全威胁手段 1 了解安全防范措施 1 了解计算机网络安全术语黑客 1 了解密码技术概念 1 理解访问控制技术概念 2 理解数字签名 1 理解网络安全策略数据物理安全 2 理解数据机密 2 理解数据完整性 1 理解数据可控 1 理解数据可用 1 理解身份鉴别 1 理解数据鉴别 1 理解数据防抵赖 1 理解审计与监测 1 理解企业网络安全技术防火墙技术防火墙概述 2 掌握防火墙实施 4 掌握防火墙局限 2 掌握入侵检测技术入侵检测技术概述 2 掌握入侵检测系统分类 2 掌握入侵检测系统实施 4 掌握企业网络与UTM设备 UTM系统概述 2 掌握 UTM的基本内涵 2 掌握 UTM的实施 4 掌握多维绿网技术基础网络和防火墙的部署 4 掌握入侵检测系统部署 4 掌握接入认证系统部署 4 掌握 802.1x交换机系统部署 4 掌握加密技术传统的加密方法传统的加密方法 2 掌握现代主流加密方法秘密密钥加密算法 2 掌握公开密钥加密算法 2 掌握算法的混合使用 2 掌握密钥的管理密钥的管理 2 掌握数字签名数字签名的概念 2 掌握数字签名的基本形式 2 掌握信息摘要技术 2 掌握数据完整性的概念 1 掌握数字签名的实现 1 掌握基于RSA的数字签名 1 掌握认证技术认证技术 2 掌握数字证书什么是数字证书 1 掌握为什么要用数字证书 1 掌握数字证书原理介绍 2 掌握证书与证书授权中心 2 掌握数字证书的应用 1 掌握公钥基础设施PKI PKI构成 2 掌握 PKI服务 2 掌握 PKI应用模式 2 掌握黑客攻击手段揭秘常见黑客技术及系统的缺陷一般攻击步骤 2 理解端口扫描 2 理解网络监听 2 理解缓冲区溢出 1 理解拒绝服务攻击 1 理解 IP欺骗（可选） 2 理解特洛伊木马 2 理解黑客攻击系统的工具和步骤黑客攻击系统的工具和步骤 2 理解网络病毒机制与防护计算机病毒的工作原理计算机病毒的工作原理 1 了解病毒分类引导型病毒 1 了解文件型病毒 1 了解混合型病毒 1 了解其他病毒 1 了解计算机网络病毒的防范特征代码法 2 理解校验和法 2 理解行为监测法 1 理解软件模拟法 1 理解网络病毒实例 CIH病毒 1 了解蠕虫病毒 1 了解 2002年流行病毒 1 了解 2003年流行病毒 1 了解操作系统安全问题及保护措施 Windows NT/2000 的安全与保护措施 Windows NT/2000系统的缺陷 2 理解 Windows NT/2000系统攻击与防范实例 2 理解 Linux 系统的缺陷与数据保护 Linux 系统的缺陷与数据保护 2 了解合计　　 128 　 4.4安全攻防实验室实验项目 4.4.1基本实验实验类型实验项目课时数掌握程度防火墙设备实验防火墙外观与接口介绍 2 掌握防火墙用户管理 1 掌握管理员地址设置 2 掌握恢复出厂设置 1 掌握配置文件保存与恢复 1 掌握产品升级实验 1 掌握防火墙透明模式初始配置 1 掌握防火墙透明模式配置网络对象 1 掌握防火墙透明模式配置安全规则 1 掌握防火墙路由模式初始配置 1 掌握防火墙路由模式配置网络对象 1 掌握防火墙路由模式设置路由及地址转换策略 1 掌握防火墙路由模式配置安全规则 1 掌握混合模式初始配置 1 掌握混合模式配置网络对象 1 掌握混合模式设置路由及地址转换策略 1 掌握混合模式配置安全规则 1 掌握防火墙日志系统实验 2 掌握双机热备(选修) 2 掌握抗DoS实验（选修） 2 掌握 VPN虚拟专用网实验 VPN设备——设备隧道的建立 2 掌握 VPN客户端——VPN设备隧道的建立 2 掌握 IPSEC VPN实验 2 掌握 SSL VPN实验 2 掌握 IDS入侵检测系统实验安装顺序介绍 0.5 理解配置传感器 0.5 理解安装数据库 1 理解安装LogServer 0.5 理解 Event-Collector 的安装与配置 0.5 理解 NIDS Console 的安装与配置 1 理解 NIDS Report 的安装与配置 1 理解查询工具的使用 1 理解安全响应策略的配置及防火墙联动 1 理解 UTM统一威胁管理系统实验 UTM的基本配置 2 理解利用UTM进行网络病毒控制 2 理解利用UTM进行垃圾邮件控制（选修） 2 理解利用UTM进行P 2P 控制 2 理解安全接入和认证计费实验 DCBI-3000安装 1 理解 DCBI-3000使用 1 理解 DCBI-3000WEB自服务系统安装 1 理解 DCBI-3000WEB自服务系统使用 1 理解 802.1X功能的组网调试 1 理解 DCBA-3000W基本调试命令 1 理解 DCBA-3000W配置Radius 1 理解 DCBA-3000W NAT调试说明 1 理解 DCBA-3000W Filist调试说明 1 理解 DCBA-3000W ACL调试说明 1 理解 DCBA-3000W二次认证（桥模式）配置实验 1 理解 DCBA-3000W二次认证（路由模式）配置实验 1 理解攻击实验基础特洛伊木马 2 理解网络监听sniffer 2 理解扫描器+口令探测 superscan x-scan SSS 流光 2 理解拒绝服务攻击(DDOS) 2 理解安全攻防综合实验（使用DCSS） Windows缓冲区溢出漏洞利用（MS06-040） 4 理解数据库漏洞利用（MySQL） 4 理解 SQL注入攻击（MySQL） 4 理解木马植入（Web挂马） 4 理解木马利用与防护（灰鸽子） 4 理解 Linux主动防御（配置安全） 4 理解 Linux漏洞利用（CVE-2005-2959、CVE-2006-2451） 4 理解口令破解（口令猜测与网络窃听） 4 理解数据库主动防御（MySQL）毒邮件 4 理解首页篡改（Apache） 4 理解系统安全加固实验 —审核系统安全性 1 掌握访问控制 1 掌握账号安全策略 1 掌握管理员权限 1 掌握网络服务（IIS和NETBIOS的安全设置） 1 掌握文件系统安全 1 掌握安全日志 1 掌握多维绿网综合网络安全实验安全防护系统的部署 2 理解 IDS入侵检测系统部署 2 理解模拟攻击并进行阻断（外部） 2 理解接入认证系统部署 2 理解 802.1x交换机系统部署 2 理解模拟攻击并进行阻断（内部） 2 理解 4.4.1扩展实验安全沙盒是一个可以不断扩展的实验平台，教师可根据课程需要自行研发扩展实验，教师按照一定的研发规则自行研发相应实验课件导入安全沙盒，神州数码提供必要的技术支持。实验类型实验项目实验点密码学实验古典密码算法 Kaiser密码、单表置换密码对称密码算法对称密码体系、DES算法、AES算法非对称密码算法非对称密码体系、RSA算法、ELGamal算法 Hash算法 MD5哈希函数、SHA-1哈希函数手工实现安全通信过程数字签名、对称密钥加密、非对称密钥加密利用PGP实现安全通信过程 PGP加密机制 PKI应用实验 IIS服务器安全通信 PKI体系、证书生成与签发、IIS服务器证书安装与认证 Apache服务器安全通信 OpenSSL证书生成与签发、Apache服务器证书安装与认证安全审计实验 IIS下个人网站搭建 HTML语言及语法结构、IIS个人网站搭建 WEB日志审计 Windows日志系统、IIS日志格式、日志审计、WEB漏洞扫描 Linux主机安全审计常用Linux日志文件、Linux文件完整性、LSAT审计单机攻防实验 Windows口令破解暴力破解、字典破解 Linux口令阴影口令、阴影文件、Linux口令加密算法缓冲区溢出 CPU寄存器、堆栈、函数调用过程、缓冲区溢出方式、Windows缓冲区溢出、Linux下溢出实现权限提升 Windows下文件恢复硬盘物理结构、Windows文件存储结构、Windows文件系统 Linux下文件恢复 Ext2文件系统、Ext3文件系统网络攻防实验端口扫描 TCP协议、UDP协议、ICMP协议、全连接扫描、半连接扫描、UDP端口扫描、主机扫描漏洞扫描弱口令、CGI通用网关接口、NetBIOS 明文嗅探明文嗅探、FTP会话过程、POP3会话过程、网络协议解析洪泛攻击 TCP SYN洪水、ICMP洪水、Windows系统监视器的使用第五章安全攻防实验室配套服务 5.1 师资培训和师资支持师资是学校提高教学质量的保证，有了专业的老师，也能把网络课程开办成精品课程，师资是基础。神州数码网络公司为合作院校提供专门的师资培养系统帮助学校培养网络专业的教师，这些师资同时也是神州数码网络公司的宝贵资源，他们在教学中的意见和建议是神州数码网络培训不断前进的动力。 5.1.1师资培训神州数码网络大学具有完善的师资培养计划，对于每一个签约网络学院，神州数码网络大学为其培养2名讲授网络大学课程的讲师。讲师培训分为网络知识、实验操作、授课技巧等多方面培养。尤其是讲师呈现技巧的培训，目前IT 厂商培训中只有神州数码提供这样的内容，神州数码认证讲师是合格的、可以为人师表授课人员，而不是简单的网络产品调试人员。在师资培训结束后，讲师都会经过严格的机考、调试考核、面试考核，在最终获得讲师资格证书后，该讲师方可代表神州数码开始对学生讲课，充分保证教师的质量。另外，对于签约网络学院的讲师，神州数码网络大学提供持续的讲师升级培训。神州数码专为师资设计了两级的讲师认证体系，讲师证书的含金量也远远高于其他认证证书。DCNI——神州数码认证网络讲师，获得此证，被授权可以讲授DCNA、DCNE等基础课程。DCSI——神州数码认证网资深讲师，获得此证，被授权可以讲授DCNP、DCNS系列等高端课程。 5.1.2课件为了方便讲师授课，扩展讲师在网络行业的知识面，减小教师备课的工作量，能够有更多的行业资料辅助教学，神州数码网络公司专为讲师编写了《讲师指导手册》，每套体系化教程的教材都配备《讲师指导手册》；除了《讲师指导手册》以外，每套课程还附带电子课件、多媒体教程、考试复习题、模拟考试系统等，以上所有以上资料，在学校与神州数码网络公司签署了网络技术学院协议之时，通过邮递的方式交给学校。 5.1.3讲师交流平台神州数码网络公司专门为讲师建立了讲师数据库，对于涌现出的新技术和新产品，神州数码网络公司将以第一时间把资料投递到数据库中的讲师手中。为了为讲师授课提供强有力的后援，神州数码网络公司还在网站上特意开设了“教师交流平台”，各地讲师和神州数码网络大学一起在这个平台上交流技术和教学经验，共同提高。 5.1.4教师进修计划神州数码网络公司与合作院校老师共同成长。每年寒暑假期间，神州数码会吸纳合作院校的部分老师参加企业实践，把老师作为神州数码的工程师安排到项目现场进行安装调试或者培训助理协助师资培训，通过这种方式增强老师的实践经验。神州数码网络公司也会组织名师竞赛，选出神州数码最优秀的认证讲师作为神州数码名誉专家成为神州数码教材研发委员会成员，所有出版的神州数码教材上也会有名誉专家的名字。 5.2考试评估和证书为了方便学生参加认证考试，神州数码的认证考试采用第三方的考试平台，成绩公开、公正、公平。神州数码网络公司可以方便地为合作院校申请考试平台，我们的认证考试也得到了众多国家部委的专业考试的认可，目前通过神州数码认证考试可以获得信息产业部以及劳动部相应的证书。神州数码网络公司希望能够从众多学员中选取到最优秀的学生加盟神州数码，并采取了以下措施进行人才储备：建立神州数码学员人才库；向优秀学生提供实习；录取实习优秀的学员成为神州数码正式员工。 5.2.1神州数码认证考试采用ATA考试平台 ATA：全美测评软件系统（北京）有限公司，是一家专业从事考试服务的公司，为客户提供最佳的整体考试解决方案并协助客户推广实施其考试认证项目。 ATA 1999年在美国纽约成立，同年在中国北京设立独资公司。先后在上海、江苏、山东、福建、吉林、重庆、广东、陕西、湖南、江西、浙江、安徽等省市设立了13家分支机构。目前，ATA在中国拥有1000余家特许加盟考站及认证考试中心，每年承接来自政府机构、教育机构、企事业单位的考试470多种，年考试量在200万人次以上。作为国内最知名的第三方考试平台，ATA还向微软、Sun、Adobe、华为等国内外知名IT企业提供考试技术支持。 2003年2月，神州数码网络公司和ATA强强联手，共同推广神州数码认证考试项目。从此，神州数码认证的考试环节步入正轨，全部考试采用ATA第三方考试平台，保证认证考试的公平性、严肃性。迅速成为国内最知名的认证品牌之一，连续三年获得了“IT培训十大影响力认证品牌”。 ATA公司网址：。 5.2.2神州数码协助合作院校申请成为ATA公司考站神州数码网络公司将协助合作网络技术学院申请与ATA公司合作，加盟考站。考站加盟有两种方式：第一种方式：学校向ATA公司申请全套考站服务，该考站可以进行ATA公司代理的所有考试项目的考试。该加盟方式，神州数码网络公司推荐院校直接和ATA联系。第二种方式：学校申请只参加神州数码认证考试的ATA站站。操作流程如下： 1）学校与神州数码网络公司签约成为神州数码网络技术学院或者授权教育中心； 2）神州数码网络公司向ATA提供学校信息，并提出考站申请； 3）神州数码网络技术学院享受ATA考站加盟的优惠政策：一次性加盟费（免年费）和免费补考一次； 4） ATA向学校发送考站加盟协议，学校按协议向ATA一次性缴纳考站加盟费，双方签署协议； 5） ATA向学校邮寄考试系统光盘和其他考站设施及资料； 6）学校自备考试服务器一台和考试机若干作为考场环境； 7） ATA提供后续的技术服务支持。 5.2.3“一考双证”如何实施？什么是“一考双证”？简单的说，就是指参加一次考试，可以获得两个证书。考生只需要参加神州数码的认证考试，成绩合格后，不仅仅可以获得神州数码认证证书，还可以获得其他权威部门相应的证书。神州数码可以提供“一考双证”的证书是公安部三所的权威证书：第六章神州数码安全攻防实验室优势 6.1区别于普通的安全调试型安全实验室神州数码安全攻防实验室不仅仅是设备安装调试的实验室，这是区别于其他友商方案的最大特点，真正把攻防演练技术带进了课堂教学，把实验室升级到运维攻防级别。 6.2独有的安全攻防平台，不需要添加其他服务器设备安全沙盒是一个完整的攻防平台，不再需要添置其他的服务器设备譬如：密码服务器、病毒服务器、PKI/审计服务器、攻防服务器、综合应用服务器等作为源或者目的主机，所有的攻防实验均在安全沙盒上进行，不牵扯更多的设备，便于教学实施和管理。 6.3便于教学的课件导入功能安全沙盒采用课件导入的方式进行工作，不同的实验只需要导入不同的课件即可。教师可以自行定制的不同的实验课件，通过接口扩展更多的实验课件。 6.4 系统还原功能安全攻防常常会使实验的环境变得一团糟，病毒、攻击无处不在，很难管理。为了方便老师授课和学生实验，沙盒攻防系统自带预设状态一键恢复功能，提供安全漏洞的修复与复原功能，方便下一次课程安排。 6.5提供设计型、综合型实验的真实环境网络安全攻防实验室加强实验教学内容的更新，减少验证型、演示性实验，增加设计型、综合型实验，加强学生创新思维、创新能力和综合素质的培养，充分调动学生学习的主动性和创造性，培养创新型、复合型人才。安全攻防实验室对设计型实验非常重视，每个技术点都需要学生在验证型实验之后自行设计拓扑完成设计型的课后练习；攻防综合实验充分体现了综合型实验的特点，需要学生理解多个知识点，综合多个实验技能来完成一次攻防战役。 6.6安全攻防实验室提供研发型实验接口为了满足更高层次的实验需求，譬如：研究生课程或者毕业设计，安全攻防实验室提供的高级课程可提供vi编辑环境，学生可以学习通过编译内核提升“安全沙盒”的安全性，并且提供与安全漏洞密切相关的在线帮助功能。第七章网络实验室布局设计神州数码网络在全国有近七百家网络实验室的用户，在实

展开阅读全文